平息风暴强化对服务器和工作站的控制必将限制用户的自由,这是无可避免的事。对IT管理人员来说,窍门是在业务功能需求和安全设置优化两者之间取得平衡。如果你的新配置显著增加了对工作站的限制,比如说购买事项需要确认,技术控制也被明确地反映到政策规定之中,那么你对这些措施可能产生的反作用最好有充分的心理准备。风险管理原则会帮助你以定量的方式确定哪些管制措施是合理的。
企业要记住的重点,是找出系统中所有合规漏洞的位置,确定需要购买哪些工具补强,从而使IT系统的风险管理策略更为完整。由于IT管理人员成天嚷着要修补安全漏洞,CFO们早就对此习以为常了,所以如果IT采购没有以合规的名目进行的话,要获得CFO的拨款是很困难的。在这种情况下,你得采用结构化的方法来证明你想采购的产品能够处理何种风险,而且这种风险必须得到量化。如果你只是提交建立在最坏预计基础之上的模糊投资回报率(ROI)计算,那很可能会让管理层觉得你在危言耸听,结果不再信任你。
单独采用工具并不能解决全部的组策略合规难题,但如果你已经打好了稳固的政策框架基础,那合适的工具就可以在满足审计人员要求和改善端点安全方面发挥重要作用。满足合规要求固然是重要目标,但更有意义的是确保安全政策有效地保护资产。
组策略:
推倒重来还是查漏补缺?
活动目录合规工具能够提高系统透明度,简化管理流程,但供应商的做法各不相同。功能齐备的软件套件力图解决活动目录或整个企业内的多个合规需求;而更具针对性的产品可以满足网络访问控制(network access control)、身份管理(identity management)和日志聚合(log aggregation)等各种功能需求。
组策略的相关产品一般有两种:一种是提供扩展功能来弥补组策略的常见功能缺陷,通常对用户界面进行强化以及提供报表功能;另一种则推倒重来,用全新的部署和检测工具包来完全取代组策略。
到底是选择针对组策略(IT基础架构中不可忽视的重要组成部分)的单点产品,还是选择功能更齐全的合规套件,走更具战略性的道路,企业必须做一番取舍。如果你愿意花工夫认真研究一下现有的工具,你想要的某些核心功能可能近在咫尺。资产管理套件往往配有清单和报表功能,稍稍配置一番之后就能用来收集必要的信息。举例来说,微软系统管理服务器中的“期望配置管理”(Desired Configuration Manager,DCM)功能可以用来进行审计和生成报表,只要使用一个名叫“清单”(manifest)的预定义设置模板就能做到。
【责任编辑:
董晶晶 TEL:(010)68479336-8033】
|
服 务 CIO 推 进 信 息 化 
